Articles /

DNSCrypt

DNSCrypt

Background: より良い DNS セキュリティの必要性

DNS は、インターネットの基本的なビルディング ブロックの 1 つです。 Web サイトへのアクセス、電子メールの送信、IM での会話など、オンラインで何かをするときは常に使用されます。 OpenDNSは、何年にもわたってDNSを使用して世界クラスのセキュリティを提供しており、OpenDNSは最も安全なDNSサービスですが、基盤となるDNSプロトコルは、私たちが快適に利用できるほど安全ではありませんでした。 多くの人は、世界中のほぼすべての DNS 実装に影響を与えた Kaminsky 脆弱性を覚えているでしょう (OpenDNS ではありません)。

つまり、Kaminsky 脆弱性が関連した問題のクラスは、本質的に弱い DNS プロトコルの基礎の一部、特に「最後の1マイル」の結果だったのです。 ラストマイル」とは、インターネット接続のうち、コンピュータとISPの間の部分のことです。 DNSCryptは、DNSトラフィックの「ラストマイル」を保護し、DNSプロトコルのセキュリティに関する重大な懸念事項を解決するための方法です(ダジャレではありません)。 世界のインターネット接続がますますモバイル化し、1 日に複数の異なる WiFi ネットワークに接続する人が増えているため、ソリューションの必要性が高まっています。

DNS トラフィックの改ざん、または中間者攻撃、およびスヌーピングの例は数多くあり、これは深刻なセキュリティ リスクであるので、我々は常に修正したいと思っていました。 今日、私たちはそれを実現できます。

DNSCrypt が重要な理由

SSL が HTTP Web トラフィックを HTTPS 暗号化 Web トラフィックに変えるように、DNSCrypt は通常の DNS トラフィックを盗聴や中間者攻撃から安全な暗号化 DNS トラフィックに変えることができます。 ドメイン名やその仕組みに変更を加える必要はなく、単に、当社のお客様と当社のデータセンターにあるDNSサーバー間の通信を安全に暗号化する方法を提供するものです。 しかし、セキュリティの世界では主張だけでは通用しないことを理解しているので、私たちは DNSCrypt コード ベースのソースをオープンにして、GitHub で公開しています。

DNSCrypt は、インターネット セキュリティにおいて SSL 以来最もインパクトのある進歩になる可能性を秘めており、すべてのインターネット ユーザーのオンライン セキュリティとプライバシーを大幅に改善します。 Umbrella Mobility by OpenDNSをご覧ください。

今すぐダウンロード:

DNSCrypt for Macをダウンロード
DNSCrypt for Windowsをダウンロード

よくある質問:

1.DNSCrypt は、どのようなセキュリティ機能を提供するのですか? わかりやすく言うと、DNSCrypt とは何ですか。

DNSCrypt は、オンラインのプライバシーとセキュリティを強化するために誰もが使用する必要がある軽量なソフトウェアです。 ユーザーと OpenDNS 間のすべての DNS トラフィックを暗号化し、スパイ、スプーフィング、中間者攻撃を防ぎます。 グラフィカル インターフェイスはもはや開発中ではありませんが、オープン ソース コミュニティはまだテクニカル プレビューの非公式アップデートを提供しています。

ヒント:
ファイアウォールやその他のミドルウェアによってパケットが妨害されている場合、ポート443上のTCPでDNSCryptを有効にしてみてください。 これにより、ほとんどのファイアウォールは HTTPS トラフィックとみなして放置します。

セキュリティよりも信頼性を重視する場合は、安全でない DNS へのフォールバックを有効にします。 私たちに到達できない場合、DHCP によって割り当てられた、または以前に構成された DNS サーバーを使用して試みます。 これはセキュリティリスクですが。

3. DNSSECについてはどうですか? DNSCrypt と DNSSEC は補完的なものです。 DNSSEC は多くのことを行います。 まず、それは認証を提供します。 (私が応答を得ているDNSレコードは、私が質問しているドメイン名の所有者から来たものか、それとも改ざんされたものか?) 第二に、DNSSECは信頼の連鎖を提供し、取得した回答が検証可能であることの信頼性を確立するのに役立ちます。 しかし残念ながら、DNSSECは実際にはDNSレコードの暗号化を提供しておらず、DNSSECで署名されたものでさえも暗号化されていません。 世界中のすべての人がDNSSECを使用したとしても、すべてのDNSトラフィックを暗号化する必要性がなくなることはないでしょう。 さらに、今日、DNSSEC はドメイン名全体のほぼゼロの割合を占め、インターネットの成長とともに DNS レコードの割合は日々減少しています。

とはいえ、DNSSEC と DNSCrypt は完全に一緒に機能することが可能です。 これらは何ら競合するものではありません。 DNSCrypt はすべての DNS トラフィックのラッパーであり、DNSSEC はそれらのレコードのサブセットに署名し、検証を提供する方法であるとお考えください。 DNSSECには、DNSCryptが対応しようとしていない利点があります。 実際、私たちは、DNSSECの採用が拡大し、人々が、顧客とOpenDNS間のリンクだけでなく、DNSインフラ全体に対してより自信を持てるようになることを願っています。

4. これはSSLを使用していますか? 暗号とデザインは何ですか。

私たちはSSLを使用していません。 DNSCryptは、SSLがすべてのHTTPトラフィックを包むのと同じように、すべてのDNSトラフィックを暗号化で包むという点でSSLのようだと類推していますが、それは使用されている暗号ライブラリではありません。 楕円曲線暗号、特にCurve25519という楕円曲線を使用しています。 設計目標は、DNSCurveフォワーダの設計で説明したものと同様です

Leave a Reply